L'ACPR alarme sur le risque cyber

Les services financiers sont les premières cibles d’attaque cyber, à hauteur de 25,3 %, a indiqué hier l'Autorité de contrôle prudentiel et de résolution (ACPR) à l'occasion de sa conférence annuelle. Le secteur est deux fois plus attaqué que celui des télécoms. Depuis 2018, on note une très forte augmentation de ces attaques. Cette augmentation s’est accélérée pendant la crise en raison du recours massif au télétravail. Le risque cyber n’a pourtant pas à ce jour entraîné de perturbations majeures sur le plan systémique. Il reste cependant pour l’ACPR une priorité parmi les plus élevées, car la menace est de plus en plus sophistiquée. C’est pourquoi, Bertrand Peyret, secrétaire général adjoint de l’ACPR, pointe le défaut de la gestion des risques des établissements financiers. Plus particulièrement, la perte de la maîtrise des systèmes informatiques, qui est de plus en plus externalisée, ce qui accroît le "risque tiers". Par ailleurs, l’ACPR a pu remarquer un manque d’élaboration et de sophistication des scenarii pour des dispositifs de secours. C’est pourquoi cette autorité recommande vivement de préparer des plans de réaction en cas d’attaque et des plans de rétablissement.

Marc Andries, responsable du réseau d’experts sécurité informatique à l’ACPR, met en avant le difficile équilibre entre la nécessité de réussir sa transformation digitale et le maintien d'un haut niveau de sécurité. En effet, les entreprises investissent largement dans le cloud computing (qui consiste à externaliser ses données informatiques vers des serveurs distants). Les données du client sont envoyées via Internet vers des serveurs distants situés dans des centres de stockage sécurisés et vidéo surveillés avec accès limité. Sur cette nouvelle technologie de stockage, Marc Andries recommande de ne pas choisir le cloud public pour les données et les applications sensibles et de privilégier le plus possible le cloud privé. Pour l’instant, il regarde avec beaucoup d’intérêt le développement du cloud dit "de confiance".

Pour accompagner au mieux les entreprises sur ce défi de la cybercriminalité, l’ACPR énumère certaines attentes. Tout d’abord, l’autorité de contrôle a besoin d’avoir plus d'informations sur la réalité des attaques, leur nature, leurs fréquences, leurs cibles et leur mode opératoire. Il est également important de créer un vocabulaire commun, afin que chaque acteur parle exactement des mêmes phénomènes, ce qui rend la communication et la compréhension plus simple. Enfin, avec l'augmentation de l'externalisation des systèmes informatiques, Marc Andries souligne la nécessité de mieux connaître les organisateurs externes.

D'après Bertrand Peyret, il ne peut y avoir de vide réglementaire sur la lutte contre la cybercriminalité concernant les banques et les assurances. Ce sont des secteurs beaucoup trop sensibles, puisque systémiques. Il existe déjà une réglementation sur le risque lié à l'information au niveau européen et national. Il est attendu que les entreprises concernées s'y conforment. Par ailleurs, un règlement européen DORA est à venir concernant le renforcement des obligations de maîtrise des prestataires. Ce règlement prévoit également la création d'un régime de surveillance directe par les autorités de surveillance.